Source: OJ L, 2024/1774, 25.6.2024

Current language: SV

Artikel 24 Komponenter i IKT-kontinuitetspolicyn

    1. Finansiella entiteter ska i sin IKT-kontinuitetspolicy som avses i artikel 11.1 i förordning (EU) 2022/2554 inkludera allt av följande:

      1. En beskrivning av

        1. målen för IKT-kontinuitetspolicyn, inbegripet sambandet mellan IKT och övergripande kontinuitet, och med beaktande av resultaten av den verksamhetskonsekvensanalys som avses i artikel 11.5 i förordning (EU) 2022/2554,

        2. omfattningen av arrangemang, planer, förfaranden och mekanismer för IKT-kontinuitet, inklusive begränsningar och uteslutningar,

        3. den tidsram som ska täckas av arrangemangen, planerna, förfarandena och mekanismerna för IKT-kontinuitet,

        4. kriterierna för att aktivera och inaktivera IKT-kontinuitetsplaner, åtgärds- och återställningsplaner avseende IKT samt kriskommunikationsplaner.

      2. Bestämmelser om

        1. styrning och organisation för att genomföra IKT-kontinuitetspolicyn, inklusive roller, ansvarsområden och eskaleringsförfaranden, som säkerställer att tillräckliga resurser finns tillgängliga,

        2. anpassning mellan IKT-kontinuitetsplanerna och de övergripande kontinuitetsplanerna, med avseende på åtminstone

          1. scenarier för potentiella fel, inbegripet de scenarier som avses i artikel 26.2 i denna förordning,

          2. återställningsmål, som anger att den finansiella entiteten ska kunna återställa driften av sina kritiska eller viktiga funktioner efter avbrott inom ett fastställt mål för återställningstid och ett fastställt mål för återställningspunkt,

        3. utarbetande av IKT-kontinuitetsplaner med allvarliga störningar i verksamheten som en del av dessa planer, och prioritering av IKT-kontinuitetsåtgärder med hjälp av en riskbaserad metod,

        4. utarbetande, testning och översyn av åtgärds- och återställningsplaner avseende IKT, i enlighet med artiklarna 25 och 26 i denna förordning,

        5. granskning av ändamålsenligheten hos de genomförda arrangemangen, planerna, förfarandena och mekanismerna för IKT-kontinuitet, i enlighet med artikel 26 i denna förordning,

        6. anpassning av IKT-kontinuitetspolicyn till

          1. den kommunikationsstrategi som avses i artikel 14.2 i förordning (EU) 2022/2554,

          2. de kommunikations- och krishanteringsinsatser som avses i artikel 11.2 e i förordning (EU) 2022/2554.

    1. Utöver de krav som avses i punkt 1 ska centrala motparter säkerställa att deras IKT-kontinuitetspolicy

      1. innehåller en maximal återställningstid för deras kritiska funktioner som inte är längre än två timmar,

      2. tar hänsyn till externa kopplingar och ömsesidiga beroenden inom de finansiella infrastrukturerna, inklusive handelsplatser som clearas av den centrala motparten, avvecklings- och betalningssystem för värdepapper samt kreditinstitut som används av den centrala motparten eller en anknuten central motpart,

      3. kräver att det finns arrangemang för att

        1. säkerställa kontinuiteten för kritiska eller viktiga funktioner hos den centrala motparten baserat på katastrofscenarier,

        2. upprätthålla ett sekundärt driftställe som kan säkerställa kontinuiteten i kritiska eller viktiga funktioner hos den centrala motparten, vilket är identiskt med det primära driftstället,

        3. upprätthålla eller ha omedelbar tillgång till en reservplats för verksamheten, så att personalen kan säkerställa tjänstens kontinuitet om den primära verksamhetsplatsen inte är tillgänglig,

        4. överväga behovet av ytterligare driftställen, särskilt om de primära och sekundära driftställenas olika riskprofiler inte ger tillräckligt förtroende för att den centrala motpartens kontinuitetsmål kommer att uppfyllas i alla scenarier.

    2. Vid tillämpning av led a ska centrala motparter under alla omständigheter slutföra förfaranden och betalningar vid dagens slut på utsatt tid och dag.

    3. Vid tillämpning av led c i ska de arrangemang som avses i det ledet omfatta tillgång till tillräcklig personal, maximal längd för avbrott i kritiska funktioner, omkoppling och återställning till ett sekundärt driftställe.

    4. Vid tillämpning av led c ii ska det sekundära driftställe som avses i det ledet ha en annan geografisk riskprofil än det primära driftstället.

    1. Utöver de krav som avses i punkt 1 ska värdepapperscentraler säkerställa att deras IKT-kontinuitetspolicy

      1. tar hänsyn till eventuella kopplingar till och ömsesidiga beroenden med användare, kritiska försörjningstjänster och kritiska tjänsteleverantörer, andra värdepapperscentraler och andra marknadsinfrastrukturer,

      2. kräver att deras arrangemang för IKT-kontinuitet säkerställer att målet för återställningstiden för deras kritiska eller viktiga funktioner inte ska vara längre än två timmar.

    1. Utöver de krav som avses i punkt 1 ska handelsplatser säkerställa att deras IKT-kontinuitetspolicy säkerställer att

      1. handeln kan återupptas inom eller strax efter två timmar efter en incident som orsakar störningar,

      2. den maximala mängden uppgifter som kan förloras från någon av handelsplatsens it-tjänster efter en incident som orsakar störningar är nära noll.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod